Операция Триангуляция: валидаторы, модули и активность после компрометации

В начале лета эксперты Лаборатории Касперского обнаружили масштабную кибероперацию, направленную на заражение iPhone российских пользователей. Эта операция получила название "Операция Триангуляция". Российские официальные структуры обвинили в её организации американские спецслужбы.

Apple заявила о своем непричастности к шпионским атакам и выпустила патчи для устранения уязвимостей, которые использовались для взлома.

Многие российские организации решили отказаться от использования iPhone. Тем временем, Лаборатория Касперского продолжала исследование данной операции.

По данным недавнего отчета , злоумышленники, стоящие за "Операцией Триангуляция", приложили максимум усилий, чтобы скрыть свою активность. Их программное обеспечение собирало обширную информацию с устройств, включая аудиозаписи, данные мессенджеров, метаданные фотографий и многое другое. Отдельное внимание стоит уделить тому, что вредоносное ПО могло функционировать и на компьютерах с операционной системой macOS.

Основные моменты отчета:

Компоненты валидации: Описана цепочка заражения операции «Триангуляция», где на устройство приходит вредоносное сообщение iMessage, запускающее выполнение цепочки эксплойтов, которое в конечном итоге приводит к загрузке импланта TriangleDB. В этой цепочке присутствуют два «валидатора»: написанный на JavaScript и бинарный валидатор. Эти валидаторы собирают и отправляют на командный сервер различную информацию об устройстве жертвы. Это делается для того, чтобы убедиться, что iPhone или iPad, на который собираются загрузить TriangleDB, не является исследовательским устройством.

JavaScript-валидатор: Цепочка заражения начинается с получения пользователем iMessage с вложением, содержащим эксплойт. Этот эксплойт открывает HTML-страницу на домене backuprabbit[.]com, где находится обфусцированный JavaScript-код и зашифрованная полезная нагрузка — JavaScript-валидатор. Этот валидатор проводит множество проверок, в том числе использует технологию Canvas Fingerprinting для сбора данных об устройстве.

Бинарный валидатор: Этот валидатор представляет собой бинарный файл Mach-O и запускается перед загрузкой TriangleDB. Он расшифровывает конфигурацию при помощи алгоритма AES и выполняет ряд действий, таких как удаление логов, поиск следов вредоносного сообщения iMessage и сбор данных о пользователе.

Поиск следов в логах: Злоумышленники, стоящие за операцией «Триангуляция», стремятся к максимальной скрытности. После успешного выполнения всех эксплойтов и запуска импланта на устройстве, он отправляет командному серверу сигнальное сообщение. Затем он получает команды, связанные с поиском логов, в которых могут оставаться следы заражения.

Отчет подчеркивает сложность и изощренность методов, используемых злоумышленниками, и необходимость постоянного мониторинга и анализа угроз для обеспечения безопасности устройств.